Apa Itu ISO 27001?
ISO 27001 adalah standar internasional yang diterbitkan oleh International Standard Organization (ISO) .
Standar ini dirancang khusus untuk menjawab tantangan dalam keamanan informasi melalui pendekatan Sistem Manajemen Keamanan Informasi (SMKI) .
Singkatnya, ISO 27001 membantu organisasi mengelola kerahasiaan, integritas, dan ketersediaan informasi dengan kerangka kerja yang terstruktur.
Sejarah dan Perkembangan ISO 27001
ISO 27001 tidak lahir begitu saja, melainkan melalui proses evolusi:
- 2005 → Edisi pertama diterbitkan.
- 2013 → Standar direvisi untuk mengikuti perkembangan teknologi dan ancaman keamanan.
- 2022 → Edisi ketiga diterbitkan, yang saat ini menjadi acuan utama.
📌 Revisi standar adalah proses normal. Tujuannya untuk memastikan standar tetap relevan dengan tantangan zaman .
Pendekatan Berbasis Risiko dalam ISO 27001
ISO 27001 menggunakan risk-based approach .
Cara kerjanya:
- Identifikasi risiko keamanan informasi
- Rencanakan kontrol untuk mengelola risiko
- Terapkan dalam siklus Plan – Do – Check – Act (PDCA)
🔄 Siklus PDCA memastikan perbaikan berkelanjutan dalam penerapan keamanan informasi.
Selain itu, organisasi dapat membuktikan kepatuhan mereka melalui sertifikasi ISO 27001 yang dilakukan oleh lembaga sertifikasi independen seperti SGS, BSI, dsb.
Struktur ISO 27001: Klausul 4–10
ISO 27001 memiliki 10 klausul utama , namun persyaratan inti berada pada klausul 4–10 .
Klausul 1–3
- Referensi normatif
- Ruang lingkup
- Istilah & definisi
➡️ Tidak memuat persyaratan, hanya bagian pengantar.
Klausul 4–10 (Persyaratan SMKI)
- 4 : Konteks organisasi
- 5 : Kepemimpinan
- 6 : Perencanaan (risiko & peluang)
- 7 : Dukungan (SDM, kesadaran, dokumentasi)
- 8 : Operasi
- 9 : Evaluasi kinerja
- 10 : Peningkatan
📌 Fokus utama kursus atau implementasi ISO 27001 biasanya ada pada klausul ini.
Lihat penjelasan lebih details dalam video ini
Annex A ISO 27001: Kontrol Keamanan Informasi
Selain klausul utama, ISO 27001 juga memiliki Annex A .
Annex A berisi 93 kontrol keamanan yang terbagi ke dalam 4 kategori :
- Kontrol Organisasi
- Kontrol Sumber Daya Manusia
- Kontrol Fisik
- Kontrol Teknologi
Penerapan Kontrol Annex A
- Tidak semua kontrol wajib diterapkan.
- Organisasi boleh menambah atau mengurangi kontrol , asalkan ada justifikasi yang jelas .
💡 Contoh:
Jika sebuah perusahaan tidak memiliki aktivitas software development , maka kontrol terkait SDLC (Software Development Lifecycle) tidak wajib diterapkan.
Hubungan ISO 27001 dengan ISO 27002
Mungkin banyak yang bertanya: Apa bedanya ISO 27001 dan ISO 27002?
- ISO 27001 → Menyediakan framework SMKI + Annex A (narasi kontrol umum).
- ISO 27002 → Memberikan penjelasan detail & panduan implementasi kontrol Annex A .
📌 Jadi, ISO 27002 adalah dokumen pendamping yang menjelaskan bagaimana cara menerapkan kontrol yang ada di Annex A ISO 27001.
Keluarga Standar ISO 27000
ISO 27001 dan ISO 27002 hanyalah bagian dari keluarga besar ISO 27000 .
Dalam keluarga ini terdapat berbagai standar lain, baik yang bersifat normatif guidelines maupun informative guidelines , yang semuanya saling melengkapi .
Contoh:
- ISO 27005 → Manajemen risiko keamanan informasi
- ISO 27701 → Privasi & perlindungan data pribadi
- ISO 27017 → Keamanan cloud
Standar-standar ini dapat dibeli melalui website resmi ISO.org .
Kesimpulan
Dalam pengantar ini, kita sudah membahas:
- Apa itu ISO 27001 dan sejarahnya
- Pendekatan berbasis risiko dan PDCA
- Struktur klausul 4–10
- Annex A dan 93 kontrol keamanan
- Perbedaan ISO 27001 & ISO 27002
- Keluarga ISO 27000 sebagai panduan tambahan
👉 Selanjutnya, kita akan mulai membahas persyaratan pertama ISO 27001 , yaitu konteks organisasi (Klausul 4).
